Diffusé par le biais du service de messagerie Discord ou avec du partage de fichiers via Bittorent, un malware a attiré l'attention d'un chercheur en sécurité de Sophos. Non pas pour sa dangerosité, mais pour son action.
Ce malware empêche les ordinateurs Windows des utilisateurs infectés de consulter des sites web avec une connotation de piratage comme The Pirate Bay cité en exemple. Pour cela, il modifie le fichier HOSTS (C:\Windows\System32\Drivers\etc\hosts).
Quelques centaines à plus d'un millier de domaines internet sont concernés afin de les faire pointer vers l'adresse hôte locale.
Après double-clic sur un fichier exécutable, une fausse fenêtre de message d'erreur évoque un fichier MSVCR100.dll manquant sur l'ordinateur. Le malware cherche surtout à vérifier la possibilité d'une connexion réseau sortante et à télécharger une deuxième charge utile ProcessHacker.jpg.
" Le malware n'a pas de mécanisme de persistance. N'importe qui peut supprimer les entrées après leur ajout au fichier HOSTS et elles restent supprimées. […] J'ai découvert une famille de malware il y a plus de 10 ans qui présentait un ensemble de comportements presque identiques ", écrit Andrew Brandt de SophosLabs.
Pour susciter l'intérêt des victimes, le malware est présenté comme une copie pirate d'un logiciel, un jeu populaire, un outil de productivité ou même un produit de sécurité. Les motivations derrière ce malware demeurent mystérieuses.
